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Представлены основные положения модели информационной безопасности иерархических распределенных систем. Рассмо- 
трены основные проблемы данных систем, дано определение основных составляющих элементов модели, уровней доверия, 
свойств распределенности и иерархичности сегментов системы, политики верификации времени. 


Введение 

Одним из основных направлений информа- 
ционной безопасности является создание фор- 
мальных моделей информационной безопасности, 
называемых также моделями разграничения досту- 
па. Под моделью информационной безопасности 
понимают формально описанную политику безо- 
пасности - совокупность норм и правил, обеспе- 
чивающих эффективную защиту системы обработ- 
ки информации от заданного множества угроз бе- 
зопасности 11]. 

Среди множества моделей безопасности можно 
выделить основные типы моделей: дискреционные 
модели, мандатные модели, модели с ролевым раз- 
граничением доступа. 

Дискреционные модели безопасности - моде- 
ли, основанные на дискреционном управлении до- 
ступом (Онсгегіопагу Ассекз Сопігоі), которое 
определяется двумя свойствами: 

1) все субъекты и объекты идентифицированы; 

2) права доступа субъектов к объектам системы 
определяются на основании некоторого вне- 
шнего по отношению к системе правила. 
Основным элементом моделей дискреционного 

разграничения доступа является матрица доступов. 
Классическими моделями данного типа является 
модель Харрисона-Руззо-Ульмана [2] и модель Та- 
ке-ОгапІ [3]. Дискреционные модели при условии 
своей очевидной простоты обладают рядом недо- 
статков, основными среди которых являются неза- 
щищенность от атаки «троянский конь», недоказу- 
емость безопасности всех состояний системы. Нес- 
мотря на недостатки, данные модели следует ис- 
пользовать в комбинации с другими моделями. 

Мандатные модели основаны на мандатном раз- 
граничении доступа (Мапйаіогу Ассехк Сопігоі), 
представляющем собой совокупность правил пре- 
доставления доступа, определенных на множестве 
атрибутов безопасности субъектов и объектов. Ха- 
рактерный пример - модель Белла -ЛаПадулы [4]. В 
данной модели анализируются условия, при выпол- 
нении которых в компьютерной системе невозмож- 
но возникновение информационных потоков от 
объектов с большим уровнем конфиденциальности 
к объектам с меньшим уровнем конфиденциально- 
сти. Для этого вводится решетка уровней конфи- 


денциальности, которым сопоставляются субъекты 
и объекты. Авторы модели предложили теорему, ко- 
торая утверждает, что система с безопасным началь- 
ным состоянием является безопасной тогда и толь- 
ко тогда, когда при любом переходе системы из од- 
ного состояния в другое не возникает никаких но- 
вых и не сохраняется никаких старых отношений 
доступа, которые будут небезопасны по отношению 
к функции уровня безопасности нового состояния. 
В реальности, данная модель используется только в 
системах, обрабатывающих классифицированную 
информацию и применяется только в отношении 
ограниченного множества субъектов и объектов. 

Модели с ролевым разграничением доступа 
(Коіе-Вахей Ассезз Сопігоі) [5] представляют собой 
развитие политики дискреционного разграниче- 
ния доступа. Права доступа субъектов системы к 
объектам группируются с учетом специфики их 
применения, образуя роли. При этом правила дан- 
ной модели являются более гибкими, чем правила 
мандатной модели, построенные на основе жестко 
определенной решетки ценности информации. В 
ролевой модели классическое понятие «субъект» 
заменяется понятиями «пользователь» и «роль». 
Пользователь - это человек, работающий с систе- 
мой и выполняющий определенные служебные 
обязанности. Роль - это активно действующая в 
системе абстрактная сущность, с которой связан 
ограниченный, логически связанный набор полно- 
мочий, необходимый для осуществления опреде- 
ленной деятельности. При использовании ролевой 
политики управление доступом осуществляется в 
две стадии: во-первых, для каждой роли указывает- 
ся набор полномочий, представляющих набор прав 
доступа к объектам, и, во-вторых, каждому пользо- 
вателю назначается список доступных ему ролей. 

В настоящей работе рассматривается особый 
класс информационных систем - иерархические 
распределенные системы (ИРС). Данный класс си- 
стем характеризуется особыми свойствами и свя- 
занными с ними проблемами: 

1 . Большое число узлов сети, в том числе серверов 

и рабочих станций. 

2. Логическая и физическая распределенность 

различных частей системы. 

3. Сосуществование локальной и глобальной се- 
тей. 
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4. Проблема верификации времени между различ- 
ными сегментами. 

5. Доверенная вычислительная среда, режимы до- 
верия. 

6. Сложность создания и верификации политики 
безопасности, регламентирующей разделения 
доступа пользователей к объектам. 

Общие положения и основные понятия 

Модель информационной безопасности ИРС 
содержит несколько составных частей, предназна- 
ченных для разрешения указанных выше проблем. 

1. Свойство распределенности сегментов ИРС. 

2. Свойство иерархичности сегментов ИРС. 

3. Введение групп и контейнеров для упорядочи- 
вания множеств субъектов и объектов. 

4. Описание доверительных отношений сегментов. 

5. Политика верификации времени. 

6. Описание безопасного состояния и безопасных 
переходов. 

7. Взаимодействие с внешними системами. 

8. Описания языка построения политики безопас- 
ности. 

В данной статье приводится описание лишь не- 
которых данных свойств. Рассмотрим основные 
понятия, на которых строится модель безопасно- 
сти ИРС, и введем математическое описание для 
основных элементов модели. Основные свойства 
рассматриваемого класса систем - распределен- 
ность и иерархичность. 

Определение 1. Локальным сегментом в распре- 
деленной информационной системе называется 
часть распределенной системы, представляющая 
собой совокупность подмножества объектов досту- 
па, подмножества пользователей, физических 
объектов с отдельной политикой информационной 
безопасности. 

I = {Ц\ /— 1...ІѴ} - множество локальных сегмен- 
тов распределенной системы. 

(Е,<) — решетка уровней иерархии системы. 

Определение 2. Локальной политикой безопас- 
ности называется политика безопасности, дей- 
ствующая в локальном сегменте. 

Локальная политика безопасности реализуется 
локальным монитором безопасности, который 
обеспечивает выполнение всех функций информа- 
ционной безопасности. 

Определение 3. Локальным монитором безопас- 
ности называется системный субъект, реализую- 
щий политику разграничения доступа в локальном 
сегменте распределенной системы, регламенти- 
рующую доступы внутри данного сегмента, а также 
доступы к элементам данного сегмента из других 
локальных сегментов. 

Определение 4. Глобальной политикой безопас- 
ности называется политика безопасности, действую- 


щая во всей системе, регламентирующая правила, 
взаимодействия отдельных локальных сегментов. 

Как правило, глобальная политика безопасно- 
сти состоит из локальных политик и общей поли- 
тики их урегулирования. 

Определение 5. Глобальным монитором безо- 
пасности называется субъект, отслеживающий лю- 
бые потоки между локальными сегментами, разре- 
шая потоки из фиксированного подмножества раз- 
решенных доступов. 

Определение 6. Объект - это одноуровневый 
блок информации. Он не может содержать других 
объектов. 

Обозначим О - множество информационных 
объектов, которое состоит из подмножеств объек- 
тов каждого сегмента, то есть: 

0 = []0' = У У о', где 0'={о‘\ /-І...Д/} - множе- 

і =1 і = 1 7-1 

ство объектов локального сегмента Ц. 

Определение 7. Контейнер - это многоуровне- 
вая информационная структура. Контейнер может 
содержать другие объекты и другие контейнеры. 

С - множество контейнеров. 

Определение 8. Сущность - это объект или кон- 
тейнер. 

511=01) С - множество сущностей. 

Также обозначим множество физических 
объектов системы V - вычислительных установок 
(рабочие станции, серверы), принтеров, коммуни- 
кационного оборудования и т. и. 

Выделим из множества субъектов множество 
всех пользователей ІІе5, которое состоит из под- 
множеств пользователей каждого сегмента, то есть: 

V = У С/' = У У и ’ ) , где ІІ‘={и‘\ /=1 ...М] - множе- 

і =1 '=1 7=1 

ство пользователей локального сегмента Ц. 

Определение 9. Группа - это совокупность поль- 
зователей, объединенных едиными правами досту- 
па к объектам и/или едиными привилегиями (пол- 
номочиями) выполнения процедур обработки дан- 
ных в рамках определенных функциональных обя- 
занностей. 

Обозначим О- множество групп пользователей. 

Определение 10. Юнит - это отдельный пользо- 
ватель или группа. 

Обозначим множество юнитов [/N=110 6. 

Определение 11. Роль пользователя - совокуп- 
ность прав пользователя, определяемая характером 
выполняемых им действий в системе. 

Обозначим через Я множество ролей пользова- 
телей и Р - прав доступов к объектам системы. 

Определение 12. Иерархией ролей называется 
заданное на множестве ролей отношение частич- 
ного порядка «<». 
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Отношение частичного порядка на множестве 
ролей не обязательно задает на нем решетку. 

Как было отмечено выше, группы - это множе- 
ства, содержащие пользователей и другие группы. 
Можно сказать, что субъект 5 является членом груп- 
пы С непосредственно, если он определен как член 
группы О, и косвенно, если существует последова- 
тельность 6 Ь С ь ..., С„, п > 1, так что 6) непосред- 
ственный член <Е+ 1 для /= 1, ..., л-1. Единственным 
ограничением на членство в группе является аци- 
кличность, т. е., если С, член С р то О і не может быть 
членом С-. Членство в группе может быть предста- 
влено в виде графа, узлы которого - индивидуаль- 
ные пользователи или группы, а дуги отражают 
членство. Данный граф является иерархией групп. 

Основное отличие между ролями и группами со- 
стоит в том, что первые могут быть активированы и 
деактивированы пользователями по их желанию, 
тогда как ограничения, накладываемые группами, 
применяются всегда. Специфика ИРС дает еще од- 
но отличительное свойство, которое характеризует 
особенность групп в рамках концепции данных си- 
стем. Группы пользователей в ИРС связаны с их ие- 
рархической структурой, тем самым на множестве 
групп задается отношение частичного порядка «<». 

Уровни доверия 

На множестве С локальных сегментов системы 
определяется частичный нестрогий порядок, уста- 
навливающий систему доверительных отношений. 

/п : ЕхЕ - отношение, определяющее приори- 
тет доверия одних локальных сегментов по отно- 
шению к другим и задающее оператор доминиро- 
вания «<», такое что: 

1 . Если для Ь„ Е ; е Е и Е, «=» Е,, то между данными 
локальными сегментами установлены отноше- 
ния двустороннего доверия (т. е. возможны уда- 
ленные доступы юнитов локального сегмента Ц 
к сущностям сегмента Е,, и наоборот, юнитов Е, 
к сущностям Е,). 

2. Если для Ц, Е у еЕ и Е, «Ф» Е,, то отношения дове- 
рия между данными локальными сегментами не 
установлены (т. е. невозможны удаленные досту- 
пы юнитов сегмента Е, к сущностям сегмента Е, и 
удаленные доступы юнитов Е, к сущностям Ь). 

3. Если для Е„ Е,бЕ и Е ; «<» Е,, то между данными 
локальными сегментами установлены отноше- 
ния одностороннего доверия (т. е. возможны 
удаленные доступы пользователей сегмента Е, к 
сущностям сегмента Е,, но удаленные доступы 
пользователей Е, к сущностям Е, невозможны). 

Следует также отметить, что среди всех данных 
вариантов для ИРС будет превалировать третий 
случай - отношений одностороннего доверия, ко- 
торые характерны для иерархических структур. 

Политика верификации времени 

Рассмотрим теперь верификацию времени 
между локальными сегментами. 


Механизм проверки установленного времени 
внутри между различными компонентами ИРС 
необходим для устранения следующих угроз: 

• реализация атаки подмены времени у передава- 
емых данных (преднамеренная угроза); 

• невозможность доступа к информации вслед- 
ствие необнаруженного несоответствия устано- 
вленного времени на различных сегментах (не- 
преднамеренная угроза). 

Данные угрозы особенно критичны, в том чи- 
сле, для следующих случаев: 

• при использовании в распределенных системах 
средств криптографической защиты информа- 
ции и средств электронно-цифровой подписи; 

• при построении защищенных частных вирту- 
альных сетей (ѴРМ); 

• при передаче особо важной информации, к ко- 
торой предъявляются особые требования по 
срокам доставке. 

В основу учета уставленного времени положен 
следующий принцип. Каждому локальному сегмен- 
ту ставится в соответствие некоторая временная зо- 
на. В каждом локальном сегменте локальным мони- 
тором безопасности ведется учет установленного 
времени на отдельных вычислительных установках. 
Также при межсегментных информационных пото- 
ках проводится верификация установленного време- 
ни субъекта, осуществляющего удаленный доступ. 
Введем следующее обозначение: 

]Ѵ- множество временных зон (например, они 
могут быть сопоставимы со световыми поясами). 

/ Ь]Ѵ : Ьх]Ѵ- отношение, ставящее в соответствие 
каждому локальному сегменту временную зону. 

Сделаем следующее предположение: каждому 
локальному сегменту Е, ставится в соответствие 
единственная временная зона \ѵ Р 

В каждом локальном сегменте Е,еЕ на каждом 
вычислительном ресурсе ѵ,е V из множества 
субъектов выделяется особый системный субъект 
$_1іте‘е5, ассоциированный со временем. 

Локальный монитор безопасности производит 
проверку (аутентификацию) субъектов, ассоци- 
ированных со временем, сопоставляя информацию 
с временной зоной локального сегмента. Для этого 
вводится предикат: 

ІосаІ_ашИі_1іте( ѵ) , 

возвращающий « Тгие » при условии совпадения вре- 
мени на вычислительном ресурсе времени, приня- 
тому в локальном сегменте, и «Раке» в ином случае. 

При возникновении потоков между различны- 
ми сегментами в процедуру начальной аутентифи- 
кации включается проверка предиката 

фЬаІ_аисІіі_Ііте( Е, , Е 2 ), 

который контролирует верность соответствия эл- 
ементов локальных сегментов, участвующих в уда- 
ленном доступе, временным зонам данных сегмен- 
тов. Данная проверка производится глобальным 
монитором безопасности. 
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Выводы 

Рассмотрены вопросы безопасности иерархиче- 
ских распределенных систем. На основании осо- 
бенностей иерархических распределенных систем 
разработана новая модель информационной безо- 
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